Processo de Elaboração e Revisão de Normas de Segurança da Informação
Controle de Versões
Versão e data |
Alterações |
|---|---|
set.2025 |
Versão de controle inicial |
Definições
Objetivo do Processo |
|---|
Elaborar, revisar e manter atualizadas as normas de segurança da informação. |
Responsável pelo Processo |
|---|
Coordenadoria de Segurança da Informação e Proteção de Dados |
Papéis |
Responsabilidades |
|
|---|---|---|
Presidência |
Órgão diretivo máximo do TRT |
Aprovar e editar as normas de segurança da informação. |
Comitê de Segurança da Informação e Proteção de Dados |
Comitê multidisciplinar formado por magistrados e servidores, de assessoramento da Administração na área de segurança da informação |
Propor à Administração novas normas de segurança da informação ou alterações nas já existentes. Revisar periodicamente as normas existentes. |
Coordenadoria de Segurança da Informação e Proteção de Dados (CSIPD) |
Coordenadoria responsável pela área de segurança da informação e Proteção de Dados de TIC |
Revisar normas vigentes Identificar necessidade de elaboração de novos regramentos Elaborar proposições ou informações sobre as situações analisadas. |
Subcomitê de TIC |
Subcomitê formado pelo gestor da Secretaria-Geral de Tecnologia da Informação e Inovação e pelos responsáveis pelas secretarias e coordenadorias de TIC. |
Apreciar propostas de alterações em normas de segurança da informação. |
Outras áreas do TRT |
Compreendem outras áreas fora da SGTI responsáveis pela publicação ou divulgação dos atos normativos |
Publicar as normas aprovadas pela Presidência |
Termos/Artefatos |
|
|---|---|
Normas de Segurança da Informação |
São Normas de Segurança da Informação existentes:
|
Ferramentas |
|
PROAD |
Sistema de processo eletrônico administrativo |
Portal de Governança de TIC |
Portal onde são divulgadas dados e informações relativas à área de TIC. |
Referências técnicas, legais e normativas que fundamentam o Processo |
|
|---|---|
Portaria GP.TRT4 Nº 5.324/23 |
Institui os Processos do Sistema de Gestão de Segurança da Informação (SGSI), de Elaboração e Revisão das Normas de Segurança da Informação, e de Treinamento e Conscientização em Segurança da Informação, no âmbito do Tribunal Regional do Trabalho da 4ª Região. |
Resolução CNJ n° 396/2021 |
Institui a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ) |
Norma ABNT NBR ISO/IEC 27001:2022 |
Estabelece os requisitos para um Sistema de Gestão da Segurança da Informação |
Norma ABNT NBR ISO/IEC 27002:2022 |
Fornece um conjunto de referências de controles de segurança da informação. |
Norma ABNT NBR ISO/IEC 27005:2023 |
Gestão de riscos de segurança da informação |
PORTARIA GP.TRT4 Nº 3.360/ 2023 |
Institui a Política de Gestão de Riscos no âmbito do Tribunal Regional do Trabalho da 4ª Região |
Indicador de benefício do processo |
||
|---|---|---|
Descrição do indicador |
Método de apuração / fórmula de cálculo |
Frequência |
N/A |
N/A |
N/A |
Controle de execução do processo |
||
|---|---|---|
Controle |
Método de execução |
Frequência |
Auditoria |
Realizar uma reunião com as equipes executoras do processo, para avaliar a aderência, os benefícios gerados e oportunidades de melhoria do processo. Essa reunião deve identificar se o processo necessita de revisão. |
Anual |
Descrição das Atividades
Identificar necessidade de elaboração de novo regramento |
||
|---|---|---|
Descrição |
Identificar a necessidade de elaboração de novo normativo de segurança da informação. |
|
Considerações importantes |
Novas regulamentações, resoluções, legislações, recomendações de órgãos internos ou externos e até mesmo alterações tecnológicas podem demandar a criação de novos normativos de segurança da informação. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Catálogo de Normas de SI; Solicitações da Presidência, Comitê de Segurança da Informação e Proteção de Dados, Comitê de Governança de TIC, CSJT e CNJ, no sentido da elaboração de novo regramento, recomendações dos órgãos de controle interno ou externo, melhores práticas, alterações tecnológicas, etc. |
|
Saídas |
Identificação da situação a ser regrada e principais tópicos a serem abordados. |
|
Atividades |
Identificar a nova situação que será objeto de regramento |
Identificar a situação a ser regrada. Deve ser verificada se há necessidade de elaboração de novo regramento ou se a proposição pode ser inserida dentre as normas vigentes, como solicitação de alteração. |
Identificar principais tópicos |
Identificar os principais tópicos/itens a serem regrados, a fim de subsidiar a elaboração da proposição. |
|
Revisar normas vigentes |
||
|---|---|---|
Descrição |
Revisar normas em vigor, identificando sua adequação às diretrizes e procedimentos vigentes ou necessidade de alteração. |
|
Considerações importantes |
A revisão das normas vigentes pode decorrer das seguintes situações: revisão periódica prevista na documentação, alteração das regras ou procedimentos previstos nas normas ou das situações que ensejaram sua elaboração, ou ainda, de necessidade de melhorias identificadas quando de sua aplicação. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Catálogo de Normas de SI |
|
Saídas |
Definição sobre a manutenção ou necessidade de alteração das normas vigentes |
|
Atividades |
Revisar as normas em vigor |
Existe previsão na documentação para revisão das normas anualmente ou sempre que detectada circunstância que enseje sua alteração. |
Identificar situações que ensejem a alteração parcial da norma |
A alteração da norma pode decorrer de uma melhoria em sua redação ou em sua organização, bem como de uma adequação ou acréscimo às diretrizes e procedimentos nela previstos. Neste caso, o próximo passo será elaborar proposição de alteração da norma. |
|
Verificar adequação da norma às diretrizes e procedimentos vigentes |
Neste caso, não haverá necessidade de alteração da norma. O próximo passo será a elaboração de informação dando ciência sobre a revisão e as conclusões no sentido de manutenção da norma. |
|
Elaborar informação |
||
|---|---|---|
Descrição |
Elaborar informação com os resultados da revisão realizada no sentido da manutenção da(s) normas(s), sem alterações, com todos os dados necessários à avaliação pelas instâncias superiores. |
|
Considerações importantes |
A elaboração de mera informação ocorrerá nos casos em que a norma, embora devidamente revisada, não necessite alteração. Essa situação decorre muitas vezes da revisão periódica das normas. A proposta de manutenção da norma deverá ser informada e formalizada junto às instâncias superiores. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Revisão das normas |
|
Saídas |
Informação ao Comitê de Segurança da Informação e Proteção de Dados |
|
Atividades |
Elaborar informação |
Na informação deverão ser noticiados os aspectos da revisão realizada e a conclusão sobre a possibilidade de manutenção da norma. |
Encaminhar para análise das instâncias superiores |
A informação deverá ser formalmente submetida ao Comitê de Segurança da Informação e Proteção de Dados e, posteriormente, à Presidência, em expediente próprio. Se alguma destas instâncias não estiver de acordo com a proposição de manutenção da norma, o expediente deverá ser devolvido à Coordenadoria de Segurança da Informação e Proteção de Dados para elaboração de proposição de alteração do regramento. |
|
Dar ciência da deliberação aos envolvidos |
||
|---|---|---|
Descrição |
Dar ciência da deliberação aos envolvidos. |
|
Considerações importantes |
Se não houver publicação no Boletim de Serviço, a Presidência determina, após a tomada de decisão, a ciência das áreas que participaram da proposição. |
|
Papéis |
Presidência |
|
Entradas |
Deliberação |
|
Saídas |
Despacho determinando a ciência da decisão |
|
Atividades |
Dar ciência da deliberação |
Neste processo, esta atividade ocorrerá em duas oportunidades: ¿ Presidência está de acordo com a conclusão da revisão em que se propõe a manutenção de normas vigentes, sem alterações a serem realizadas. ¿ Presidência rejeita totalmente a proposição de alteração de norma ou de criação de novo regramento. Os envolvidos no processo tomam ciência e o expediente fica arquivado no local para o qual foi encaminhado pela Presidência. |
Elaborar proposição |
||
|---|---|---|
Descrição |
Elaborar proposição de alteração ou criação de nova norma (minuta de norma e encaminhamento à instância superior). |
|
Considerações importantes |
A minuta de norma deverá observar o padrão utilizado para as demais normas e deve ser acompanhada da exposição de motivos. |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Revisão das normas ou identificação da necessidade de elaboração de novo regramento. |
|
Saídas |
Minuta de norma ou proposta de alteração e encaminhamento à deliberação superior |
|
Atividades |
Redigir minuta de norma |
Com base nos dados levantados nas atividades anteriores, será elaborada minuta de norma, observando o padrão definido para as normas de segurança da informação. |
Redigir exposição de motivos |
A minuta de norma deve ser acompanhada de exposição de motivos, em que identificadas as circunstâncias motivadoras da alteração da norma ou do novo regramento proposto. |
|
Encaminhar ao Comitê de Segurança da Informação e Proteção de Dados |
Os documentos produzidos nesta atividade deverão ser submetidos ao Comitê de Segurança da Informação e Proteção de Dados para validação. |
|
Apreciar a proposição |
||
|---|---|---|
Descrição |
O Subcomitê de TIC irá apreciar a proposição apresentada pela CSIPD. |
|
Considerações importantes |
N/A |
|
Papéis |
Subcomitê de TIC |
|
Entradas |
Proposição da Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Saídas |
Proposição final |
|
Atividades |
Examinar proposição |
O Subcomitê de TIC deverá apreciar a proposição. |
Formalizar proposição |
O Subcomitê de TIC irá definir a proposta final, para validação do Comitê de Segurança da Informação e Proteção de Dados. |
|
Propor ajustes |
Identificada a necessidade de alterações, a proposição será devolvida à Coordenadoria de Segurança da Informação e Proteção de Dados para os devidos ajustes. |
|
Validar proposição |
||
|---|---|---|
Descrição |
O Comitê de Segurança da Informação e Proteção de Dados deverá validar a proposição. |
|
Considerações importantes |
N/A |
|
Papéis |
Comitê de Segurança da Informação e Proteção de Dados |
|
Entradas |
Proposição Final da Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Saídas |
Proposição validada ou solicitação de ajustes |
|
Atividades |
Examinar proposição |
O Comitê de Segurança da Informação e Proteção de Dados deverá examinar a proposição, propondo alterações ou validando-a como um todo. |
Formalizar deliberação |
A deliberação deverá ser formalizada (registro de reunião ou manifestações de seus integrantes, p.ex., por e-mail.) |
|
Propor ajustes |
Identificada a necessidade de alterações, a proposição será devolvida à Coordenadoria de Segurança da Informação e Proteção de Dados para os devidos ajustes. |
|
Submeter a proposição para apreciação da Presidência |
Definida a versão final da proposição, ela deverá ser submetida à Presidência para apreciação e aprovação, tratando-se de alterações na PSI, deverá ser submetida anteriormente para opinião do Comitê de Governança de TIC. |
|
Ajustar proposição |
||
|---|---|---|
Descrição |
Alterar a proposição conforme apontamentos realizados pelos nos colegiados. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Deliberação dos Comitês |
|
Saídas |
Proposição ajustada |
|
Atividades |
Analisar a deliberação |
Identificar na deliberação dos colegiados os pontos que merecem alteração e eventuais repercussões em outros itens da norma levando em consideração eventuais manifestações.. |
Ajustar proposição |
Ajustar proposição e redigir nova versão a ser submetida novamente ao Comitê de Segurança da Informação e Proteção de Dados para validação. |
|
Apreciar proposição e manifestação |
||
|---|---|---|
Descrição |
Apreciar a proposição encaminhada pelo Comitê de Segurança da Informação e Proteção de Dados. |
|
Considerações importantes |
N/A |
|
Papéis |
Presidência |
|
Entradas |
Proposição do Comitê |
|
Saídas |
Ato Normativo formalizando a revisão ou despacho rejeitando a proposição |
|
Atividades |
Apreciar a proposição e manifestação |
A proposição deverá ser apreciada pela Presidência do TRT. |
Aprovar proposição |
Estando de acordo com a proposição apresentada (com ajustes ou não) a Presidência aprova a norma ou sua alteração e determina a edição do Ato Normativo (Portaria). |
|
Rejeitar proposição |
Não estando de acordo com a proposição haverá a negativa de encaminhamento. Em qualquer caso, a deliberação deverá ser registrada formalmente. |
|
Editar Ato Normativo |
||
|---|---|---|
Descrição |
Aprovada a proposição, ainda que parcialmente, deverá ser editado Ato Normativo. |
|
Considerações importantes |
Via de regra, as alterações de políticas e protocolos (sejam as alterações nas normas já existentes, seja a inclusão de nova norma) são feitas via edição de Portaria. |
|
Papéis |
Presidência |
|
Entradas |
Proposição aprovada |
|
Saídas |
Ato Normativo |
|
Atividades |
Redigir e assinar Ato Normativo |
A minuta de Portaria será elaborada pela Assessoria da Presidência e encaminhada para assinatura. |
Encaminhar para publicação |
||
|---|---|---|
Descrição |
Encaminhar Ato Normativo devidamente assinado para publicação. |
|
Considerações importantes |
N/A |
|
Papéis |
Presidência |
|
Entradas |
Ato Normativo assinado |
|
Saídas |
E-mail encaminhando Ato Normativo para publicação |
|
Atividades |
Encaminhar Ato Normativo para publicação |
A Presidência encaminha, via e-mail, o Ato Normativo assinado para publicação no DEJT e no Boletim de Serviço. Esta comunicação é feita em cópia para a SGTI, a fim de informar com antecedência a publicação da norma. |
Publicar Ato Normativo e atualizar internet |
||
|---|---|---|
Descrição |
Publicar Ato Normativo |
|
Considerações importantes |
A Presidência poderá determinar a republicação de toda a PSI quando da publicação da alteração. |
|
Papéis |
Outras áreas do TRT |
|
Entradas |
e-mail da Presidência solicitando a publicação |
|
Saídas |
Ato Normativo publicado |
|
Atividades |
Publicar Ato Normativo |
Publicar no DEJT e no Boletim de Serviço a Portaria assinada. |
Atualizar internet |
Após a publicação, o site do TRT deverá ser atualizado com o teor da nova Portaria (Atos Normativos - Portarias da Presidência). |
|
Atualizar registros e Portal de Governança de TIC |
||
|---|---|---|
Descrição |
Atualizar registros, divulgar normativos e publicar no Portal de Governança de TIC. |
|
Considerações importantes |
N/A |
|
Papéis |
Coordenadoria de Segurança da Informação e Proteção de Dados |
|
Entradas |
Ato Normativo publicado |
|
Saídas |
Portais atualizados Catálogo de Normas de SI atualizado |
|
Atividades |
Atualizar PROAD da revisão da respectiva norma |
A CSIPD mantém os seguintes PROAD’s para controle e formalização dos normativos: PROAD 7248/2019 - PSI PROAD 7250/2019 - Processos de Sistema de Gestão de Segurança da Informação (SGSI), de Elaboração e Revisão das Normas de Segurança da Informação, e de Treinamento e Conscientização em Segurança da Informação PROAD 2379/2021 - Protocolos de Segurança Cibernética |
Divulgar principais alterações da PSI |
Divulgar as principais alterações das normas (Portal VOX, e-mail, etc). |
|
Atualizar Portal de Governança de TIC |
Proceder com as alterações necessárias no Portal de Governança de TIC (processos de segurança da informação, página do Comitê de Segurança da Informação e Proteção de Dados, PSI, etc). Também deve ser revisada a página Portarias para incluir a portaria de alteração. |
|
Registrar publicação |
Informar nos PROAD’s respectivos a publicação no Portal de Governança de TIC. |
|